上月，總部位于阿姆斯特丹的網(wǎng)絡(luò)安全公司ThreatFabric發(fā)現(xiàn)了名為Cerberus的惡意程序。它是有史以來首款能夠成功竊取GoogleAuthenticator應(yīng)用程序生成的2FA（兩因素身份驗(yàn)證）代碼功能的Android惡意軟件。該軟件目前正在開發(fā)過程中，目前沒有證據(jù)表明已用于實(shí)際攻擊。

研究人員表示，該惡意程序混合了銀行木馬和遠(yuǎn)程訪問木馬（RAT）特性。一旦Android用戶被感染，黑客便會(huì)使用該惡意軟件的銀行木馬功能來竊取移動(dòng)銀行應(yīng)用程序的帳號(hào)憑據(jù)。

ThreatFabric的報(bào)告指出，遠(yuǎn)程訪問特洛伊木馬（Cerberus）是在6月底首次發(fā)現(xiàn)的，它取代了Anubis木馬，并逐漸成為一種主要的惡意軟件即服務(wù)產(chǎn)品。

報(bào)告指出，Cerberus在2020年1月中旬進(jìn)行了更新，新版本引入了從GoogleAuthenticator竊取2FA令牌以及設(shè)備屏幕鎖定PIN碼和滑動(dòng)方式的功能。

即使用戶賬戶受到2FA（GoogleAuthenticator生成）保護(hù)，惡意程序Cerberus可以通過RAT功能手動(dòng)連接到用戶設(shè)備。然后，黑客將打開Authenticator應(yīng)用程序，生成一次性密碼，截取這些代碼的屏幕截圖，然后訪問該用戶的帳戶。

安全團(tuán)隊(duì)表示：“啟用竊取設(shè)備的屏幕鎖定憑據(jù)（PIN和鎖定模式）的功能由一個(gè)簡(jiǎn)單的覆蓋層提供支持，該覆蓋層將要求受害者解鎖設(shè)備。從RAT的實(shí)現(xiàn)中，我們可以得出結(jié)論，建立此屏幕鎖定憑據(jù)盜竊是為了使參與者能夠遠(yuǎn)程解鎖設(shè)備，以便在受害者不使用設(shè)備時(shí)進(jìn)行欺詐。這再次顯示了罪犯創(chuàng)造成功所需的正確工具的創(chuàng)造力。”

在本周發(fā)表的研究中，來自NightwatchCybersecurity的研究人員深入研究了導(dǎo)致這種攻擊的根本原因，即Authenticator應(yīng)用程序首先允許對(duì)其內(nèi)容進(jìn)行屏幕截圖。

Android操作系統(tǒng)允許應(yīng)用程序阻止其他應(yīng)用程序截屏其內(nèi)容，從而保護(hù)其用戶。這是通過在應(yīng)用程序的配置中添加“FLAG_SECURE”選項(xiàng)來完成的。Google并未將此標(biāo)記添加到Authenticator的應(yīng)用中，盡管該應(yīng)用通常處理一些非常敏感的內(nèi)容。

Nightwatch研究人員表示，谷歌早在2014年的10月就收到了相關(guān)的問題報(bào)告，當(dāng)時(shí)有用戶在GitHub上注意到這個(gè)錯(cuò)誤配置。2017年，Nightwatch在2017年的時(shí)候又向谷歌的安全團(tuán)隊(duì)報(bào)告了相同的問題，此外還發(fā)現(xiàn)微軟的Authenticator同樣存在能夠截圖問題。